Er kan een spion in de laadkabel van je smartphone verstopt zitten

Je bent onderweg en moet een dringend telefoontje plegen of een mailbericht beantwoorden. Probleem. Je accu is bijna leeg en je hebt je laadstekker niet bij je. Wat doe je?

De meeste mensen vragen dan aan iemand in de buurt of ze even hun laadkabel mogen gebruiken. Vaak mag dat. De smartphone wordt soms afgegeven en kan dan achter een balie bij een bedrijf, restaurant of hotel, worden opgeladen terwijl jij iets anders doet.

Los van het risico dat je smartphone dan onbeheerd op een onbekende plek ligt komt er sinds kort een nieuw risico bij. Is de laadkabel van die vriendelijke wildvreemde persoon die je helpt wel veilig?

Een anonieme veiligheidsonderzoeker die actief is op Twitter onder de naam MG bracht enkele tientallen iPhone oplaadkabels naar een hackersconferentie in Las Vegas en verkocht ze voor 200 dollar per stuk. De kabels waren binnen enkele dagen uitverkocht, de hackers betaalden bereidwillig 190 dollar meer dan in de winkel. Omdat MG de originele Apple kabels dusdanig had aangepast dat niet te zien viel dat er mee geknoeid was.

Als je zo’n kabel op een Apple computer aansluit, kun je je je iPhone er gemakkelijk mee opladen. Maar tegelijkertijd opent de chip die MG in de USB-stekker heeft gesoldeerd een verborgen draadloos netwerk. De hacker kan dankzij die chip eenvoudig de scherminhoud van de Mac zien, muisbewegingen en toetsenbordgegevens lezen of spionagesoftware installeren.

De hacker noemt zijn kabels OMG-kabels. De afkorting voor “Oh, mijn God!”) en gaf in het vakblad “Vice Motherboard” aan dat hij de aanpassingen voor iedere een USB-kabel kan maken. Ook voor Android toestellen. De Apple kabels zijn het moeilijkst, alle andere zijn makkelijker aan te passen.

De kans is groot dat het voorbeeld van MG gekopieerd wordt of al is door kwaadwillige hackers. En door buitenlandse inlichtingendiensten.

Hackers kunnen dankzij privacywet heel eenvoudig jouw gegevens opvragen bij bedrijven

Hoe snel voldoet de organisatie waar jij voor werkt aan een verzoek van een klant om een overzicht van alle persoonsgegevens die van hem of haar zijn opgeslagen? Wordt ook gecontroleerd of degene die de gegevens opvraagt ook echt degene is waarvan de gegevens zijn?

Hackers kunnen volgens veiligheidsonderzoeker James Pavur van de Oxford University dankzij de Europese privacywet heel eenvoudig aan persoonsgegevens komen. Pavur ontdekte tijdens een test dat hij zonder problemen de gegevens van iemand anders kon opvragen.

Bedrijven zijn op basis van de AVG verplicht om op verzoek in detail aan te geven welke gegevens zij van een gebruiker hebben opgeslagen.

Er wordt echter niet precies aangegeven hoe de bedrijven moeten controleren of de gebruiker de gegevens zelf of iemand anders met kwade bedoelingen opvraagt. Pavur probeerde uit of hij de gegevens van zijn vriendin – met haar toestemming – van de bedrijven kon krijgen zonder dat hij een identiteitskaart hoefde te tonen.

Het resultaat is schrikbarend: Pavur stuurde 150 onderzoeken om informatie op basis van de AVG.

In 72 procent van alle gevallen kreeg hij het antwoord dat de bedrijven daadwerkelijk gegevens opslaan.

In 24 procent van de gevallen sturen de bedrijven eenvoudigweg alle opgeslagen bestanden met gegevens zoals geboortedata, adressen of betalingsgegevens.

Nog eens 16 procent vroeg alleen om gemakkelijk te onderzoeken informatie, zoals de geboortedatum of creditcardnummers, die Pavur al van de eerste 24 procent van de verstrekkers had gekregen.

De conclusie van Pavur: “Bedrijven staan vaak onder druk om de Algemene Verordening Gegevensbescherming na te leven en snel te reageren op vragen. De aanvragen om inzage in persoonsgegevens worden vaak afgehandeld door bedrijfsjuristen of hun helpers en niet door veiligheidsdeskundigen, die misschien meer achterdochtig zijn.”

Wie controleert of anderen mailberichten openen overtreedt mogelijk de privacywet

Wie via mailsoftware automatisch controleert of verstuurde mail door ontvangers wordt geopend overtreedt de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een uitspraak van de Autoriteit Persoonsgegevens (AP) naar aanleiding van een onderzoek bij de Dienst Uitvoering Onderwijs (DUO).

DUO heeft volgens de AP de Europese privacywet overtreden door met speciale software bij te houden of studenten e-mails hadden geopend.

Door in de gaten te houden of studenten e-mails hebben geopend, wist DUO zeker dat een bericht goed ontvangen en gelezen was. Het ging daarbij om mails over wijzigingen in persoonlijke situaties van scholieren.

De trackingsoftware zou gebruikt kunnen worden als bewijs in rechtszaken, als iemand beweerde nooit bericht te hebben gehad over een wijziging. Bij het openen van een mail werd een onzichtbare afbeelding geopend, waar DUO vervolgens over werd geïnformeerd.

Omdat de software herleidbare privégegevens vastlegt, is deze volgens de Autoriteit Persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG). DUO hield bijvoorbeeld het ip-adres van een mailontvanger bij, wat niet zomaar mag. Bovendien werden mailontvangers niet geïnformeerd over dat ze werden gevolgd.

Inmiddels is DUO gestopt met het gebruik van de trackingtechniek.

“Medewerkers Apple luisteren via Siri op iPhone mee tijdens seks en medische gesprekken”

De Autoriteit Persoonsgegevens (AP) in Ierland onderzoekt of de spraakassistent Siri van Apple wel conform de privacywet ingezet wordt. Dit naar aanleiding van berichtgeving in de Britse krant The Guardian.

Apple-medewerkers luisteren volgens The Guardian via de spraakassistent Siri ook mee naar persoonlijke gesprekken als er geen luisteropdracht is gegeven. Siri is via talloze apparaten van Apple, zoals ook via de speaker en Apple Watch, te benaderen.

The Guardian citeert een anonieme klokkenluider die zegt dat het gaat om gevallen waarin Siri per ongeluk wordt geactiveerd. Normaal gebeurt dat alleen als het commando ’Hey Siri’ gegeven wordt.

Apple-medewerkers luisteren volgens de l klokkenluider doorlopend mee naar zeer persoonlijke informatie van gebruikers. Seks, drugsdeals en medische gesprekken worden zo afgeluisterd.

Medewerkers maken analyses van de gesprekken en informatie om Siri beter te laten werken.

In de gebruiksvoorwaarden van Apple staat niet dat medewerkers kunnen meeluisteren naar de gesprekken die de spraakassistent met mensen heeft.

In een reactie tegen de Guardian meldt Apple dat enkele medewerkers meeluisteren en gesprekken doorsturen om de Siri-dienst nog beter te laten werken.

Sites met Facebook Like button overtreden privacywet volgens Europese Hof van Justitie

Websites met een likeknop van Facebook zijn volgens het Europees Hof van Justitie verantwoordelijk voor het doorsturen van persoonsgegevens naar het sociale netwerk.
Het Europese Hof deed een verstrekkende uitspraak in een zaak tegen de Duitse webshop Fashion ID van Peek & Cloppenburg.

Op de site FashionID.de is een likebutton van Facebook geplaatst. Hiermee kunnen gebruikers ervoor kiezen Fashion ID op Facebook te volgen.
Maar de like button zorgt er meteen ook voor dat op de achtergrond aan Facebook wordt doorgegeven welke internetgebruikers op een websitepagina zijn geweest.

Facebook gebruikt de informatie om bijvoorbeeld een profiel samen te stellen waarmee op basis van het surfgedrag van klanten doelgericht advertenties kunnen worden getoond.

Volgens de aanklagers gebeurde dit bij Fashion ID zonder dat gebruikers vooraf om toestemming werden gevraagd.

Volgens het Europees Hof van Justitie is in dit geval zowel Fashion ID als Facebook verantwoordelijk voor de gegevensverzameling.

De Duitse site zou zijn gebruikers daarom ook duidelijk moeten vertellen dat gegevens met het sociale netwerk worden gedeeld.

Het arrest van het Hof wordt gedeeld met het Duitse gerechtshof, dat een oordeel in de zaak zal vellen. De Europese uitspraak kan echter gevolgen hebben voor toekomstige zaken bij Europese rechtbanken.

Consequenties voor meer Europese sites

Het oordeel kan ook consequenties hebben voor andere websites die likeknoppen voor Facebook tonen. De uitspraak kan ertoe leiden dat sites explicieter toestemming moeten vragen voor het tonen van een likeknop, net zoals er nu toestemming nodig is om cookies te plaatsen en persoonsgegevens te verwerken. De knop valt immers onder gegevensverwerking.

Websites zijn volgens het Hof alleen verantwoordelijk voor het doorsturen van persoonsgegevens naar Facebook. Als het sociale netwerk die data eenmaal in handen heeft, dan kan een site niet verantwoordelijk worden gehouden voor wat er vervolgens mee gebeurt.

Sites met Facebook Like button overtreden privacywet volgens Europese Hof van Justitie

Websites met een likeknop van Facebook zijn volgens het Europees Hof van Justitie verantwoordelijk voor het doorsturen van persoonsgegevens naar het sociale netwerk.
Het Europese Hof deed een verstrekkende uitspraak in een zaak tegen de Duitse webshop Fashion ID van Peek & Cloppenburg.

Op de site FashionID.de is een likebutton van Facebook geplaatst. Hiermee kunnen gebruikers ervoor kiezen Fashion ID op Facebook te volgen.
Maar de like button zorgt er meteen ook voor dat op de achtergrond aan Facebook wordt doorgegeven welke internetgebruikers op een websitepagina zijn geweest.

Facebook gebruikt de informatie om bijvoorbeeld een profiel samen te stellen waarmee op basis van het surfgedrag van klanten doelgericht advertenties kunnen worden getoond.

Volgens de aanklagers gebeurde dit bij Fashion ID zonder dat gebruikers vooraf om toestemming werden gevraagd.

Volgens het Europees Hof van Justitie is in dit geval zowel Fashion ID als Facebook verantwoordelijk voor de gegevensverzameling.

De Duitse site zou zijn gebruikers daarom ook duidelijk moeten vertellen dat gegevens met het sociale netwerk worden gedeeld.

Het arrest van het Hof wordt gedeeld met het Duitse gerechtshof, dat een oordeel in de zaak zal vellen. De Europese uitspraak kan echter gevolgen hebben voor toekomstige zaken bij Europese rechtbanken.

Consequenties voor meer Europese sites

Het oordeel kan ook consequenties hebben voor andere websites die likeknoppen voor Facebook tonen. De uitspraak kan ertoe leiden dat sites explicieter toestemming moeten vragen voor het tonen van een likeknop, net zoals er nu toestemming nodig is om cookies te plaatsen en persoonsgegevens te verwerken. De knop valt immers onder gegevensverwerking.

Websites zijn volgens het Hof alleen verantwoordelijk voor het doorsturen van persoonsgegevens naar Facebook. Als het sociale netwerk die data eenmaal in handen heeft, dan kan een site niet verantwoordelijk worden gehouden voor wat er vervolgens mee gebeurt.

Datalek bij gemeente Hellevoetsluis

De gemeente Hellevoetsluis heeft documenten met daarin onder meer burgerservicenummers (BSN’s), woonadressen en telefoonnummers van inwoners gelekt. De gemeente heeft berichtgeving daarover door RTL Nieuws bevestigd.

Hoeveel inwoners zijn getroffen, is onduidelijk. Volgens RTL Nieuws zijn er
21.000 documenten gelekt. Het systeem waarin de documenten zijn verwerkt wordt al sinds 2001 door Hellevoetsluis gebruikt.
De documenten met gevoelige gegevens werden per ongeluk door ambtenaren openbaar gezet, waardoor de persoonsgegevens via Google vindbaar waren.

Inmiddels zijn de data ook niet meer via Google vindbaar, aldus RTL Nieuws.

De gemeente Hellevoetsluis heeft het datalek inmiddels gemeld bij de Autoriteit Persoonsgegevens (AP), aldus de woordvoerder. De gemeente onderzoekt nu welke stappen zij verder als gevolg van het datalek moet nemen.

RDW doet aangifte bij politie wegens illegale handel in kentekengegevens

De Rijksdienst voor het Wegverkeer (RDW) met heeft aangifte gedaan bij de politie wegens illegale handel in privégegevens van Nederlandse automobilisten. Dat heeft de RDW gedaan na berichtgeving door RTL Nieuws.

De RDW verzorgt de uitgifte van alle kentekens voor auto’s, motoren, bromfietsen en boten in Nederland. De dienst heeft vestigingen in Groningen en Veendam.

Volgens RTL is het mogelijk om via internet aan de hand van een kenteken te laten uitzoeken wie de eigenaar van een voertuig is. Dat zou 50 tot 150 euro kosten. Het aanbieden van deze gegevens is echter in strijd met de Algemene Verordening Gegevensbescherming (AVG).

Het achterhalen van de eigenaar achter een kenteken kan op verschillende manieren worden misbruikt, melden experts aan RTL Nieuws. Zo kunnen dieven bijvoorbeeld de eigenaren van dure auto’s op de parking bij Schiphol achterhalen, zodat ze weten dat die mensen op vakantie zijn. Daarna kunnen ze inbreken bij hun huis. Ook kan de informatie gebruikt worden voor lastigvallen en intimidatie.

‘Meerdere keren per week’

De handvol accounts die nu actief zijn in het aanbieden van persoonsinformatie achter kentekens, zeggen tegen RTL Nieuws dat ze dat meerdere keren per week doen.

RDW weet nog niet hoe kwalijk de praktijk is: ‘We moeten eerst uitzoeken wat er precies gebeurt, of deze mensen de informatie rechtstreeks uit de RDW-registers halen.’

Ook andere organisaties hebben toegang

De RDW is niet de enige instelling die toegang heeft tot het kentekenregister. De politie, de Belastingdienst, het Centraal Justitieel Incassobureau en gemeenten kunnen de gegevens ook zien.

De RDW beheert 11,5 miljoen Nederlandse kentekens. Het registreert niet alleen de technische gegevens van het voertuig, maar ook de naam, adres en woonplaats van de eigenaar.

In het register staan alle voertuigen in Nederland die een kenteken moeten hebben. Dat zijn auto’s, bestelbussen, vrachtauto’s, bussen, bromfietsen, motoren, aanhangers, caravans, vrachtwagenopleggers en snorfietsen.

Fraudehelpdesk krijgt tik op de vingers van Autoriteit Persoonsgegevens

De Fraudehelpdesk mag niet langer de persoonsgegevens van tipgevers die e-mails en andere berichten met phishing naar hen sturen verzamelen. Dat heeft de Autoriteit Persoonsgegevens (AP) dinsdag aan de NOS verteld.

De Fraudehelpdesk ontving iedere maand tussen de 80.000 en 100.000 tips over phishingmails. Deze tips werden gebruikt om phishingcampagnes en andere online oplichtacties in beeld te brengen.

Maar de Fraudehelpdesk verwerkt dankzij alle tips ook meteen persoonsgegevens van tipgevers. Het gaat dan vooral om namen, adresgegevens en e-mailadressen van de afzenders. Dat mag volgens de AP niet.

Volgens de AP heeft de organisatie haar “huiswerk niet op orde”.

De Autoriteit Persoonsgegevens weigert daarom om de Fraudehelpdesk een vergunning voor de gegevensverwerking te verlenen. Die vergunning is vereist omdat phishingmails strikt gezien strafrechtelijke gegevens bevatten.

De helpdesk kon volgens de AP niet goed duidelijk maken waarom persoonsgegevens verwerkt moesten worden.

Het is nog wel toegestaan om tips naar de Fraudehelpdesk te sturen. Niets in die tips mag echter terug te leiden zijn naar een persoon. Ook mag de helpdesk niet meer doorvragen om meer informatie te bemachtigen.

Politie waarschuwt op Facebook om FaceApp niet te installeren. De app is onveilig

Bent u van plan om FaceApp te installeren om te zien hoe u er als u oud bent uit ziet? Niet doen!, waarschuwt de politie. De app is niet veilig. De Russische app overtreedt de Algemene Verordening Gegevensbescherming (AVG).

Veel gratis apps verzamelen gegevens van gebruikers. Op die manier kunnen ze geld verdienen door adverteerders of andere bedrijven toegang geven tot deze data. In de Europese Unie zijn er strenge regels voor hoe hiermee omgegaan moet worden, die gebruikers ook de mogelijkheid bieden die gegevens op te vragen en te laten verwijderen.

De politie heeft op verschillende lokale Facebookaccounts een oproep geplaatst waarin wordt geadviseerd de ouderdomsapp FaceApp te verwijderen. De politie vindt de app niet veilig, omdat deze niet aan de Europese privacywetgeving hoeft te voldoen.

Met de gratis FaceApp kunnen gebruikers een foto van zichzelf uploaden en zien hoe ze eruit komen te zien als ze ouder worden.

De app bestaat al enige tijd, maar is sinds een paar weken erg populair geworden.

Duizenden Nederlanders creëerden een oudere versie van zichzelf met het filter in de app, maar dat is dus niet verstandig volgens de Politie Schagen.

FaceApp is van een Russische appmaker en dit bedrijf hoeft zich niet te houden aan de Europese privacywetgeving, schrijft de politie. De appmaker kan dus geen boete krijgen op basis van de Algemene verordening gegevensbescherming (AVG) als het onzorgvuldig omgaat met de gegevens.

De politie benadrukt dat de app niet alleen je foto opslaat, maar ook je ip-adres, smartphonegegevens en cookies plaatst. Daarom is het beter om de app te verwijderen, aldus de politie.

Het is niet voor het eerst dat FaceApp onder vuur ligt. Privacyvoorvechters bekritiseerden het beleid van de app afgelopen week en adviseerden hem niet te installeren.

Cybercriminelen leggen netwerk in 11 ziekenhuizen en 4 bejaardenhuizen in Duitsland plat

Hackers hebben met behulp van ransomware een computernetwerk platgelegd dat gebruikt wordt door elf ziekenhuizen en vier bejaardentehuizen in de Duitse deelstaten Rijnland-Palts en Saarland. In de getroffen ziekenhuizen moesten artsen uit nood met pen en papier werken om hun medische diagnose vast te leggen en recepten te kunnen schrijven.

De hackers troffen onder meer medische klinieken in Worms, Mainz, Alzey en Bad Kreuznach met de ransomware-aanval.

De aangevallen ziekenhuizen behoren tot het Duitse Rode Kruis (DRK).

De ransomware heeft servers en databases versleuteld. Volgens het magazine Spiegel Online, kon het medisch personeel niet langer toegang krijgen tot de gegevens omdat die versleuteld bleken door de ransomware.

Tijdens de aanval moesten het medisch personeel en de administratie met potlood, balpen en papier opnames van patiënten en laboratoriumbevindingen opschrijven.

De zorg voor de patiënten zou echter niet in gevaar zijn geweest, medische hulpmiddelen niet aangetast en er zijn tot nu toe geen aanwijzingen dat er vertrouwelijke informatie is gestolen.

De hack werd zondagochtend opgemerkt. Het encryptieproces kon pas op zondagmiddag worden gestopt. Het Staatscentrum voor Cybercrime bij het Openbaar Ministerie in Koblenz deed onderzoek.

De zwakke plek in het netwerk waardoor hackers met hun ransomware konden infiltreren is nu geïdentificeerd. Volgens de regionale publieke omroep SWR, worden de betrokken computers inmiddels geleidelijk weer op het netwerk aangesloten.

Hoe veilig is cloudopslag? Israëlisch bedrijf zegt iCloud en Google Drive te kunnen hacken

Sla je veel gevoelige documenten op in the cloud? Denk je dat de iCloud van Apple of Google Drive veilig zijn? Volgens het Israëlische bedrijf NSO Group is dat een illusie.

De Israëli zeggen in staat te zijn om data uit onder meer iCloud en Google Drive en andere clouddiensten te kunnen halen. Dat meldt The Financial Times op basis van documenten en anonieme bronnen die gebaseerd zijn op de verkooppitch van het bedrijf.

Beveiliging door middel van tweestapsverificatie

NSO zou potentiële klanten vertellen dat zij informatie uit deze diensten kunnen verzamelen zonder dat het doelwit daarvan op de hoogte wordt gebracht. Ook extra beveiliging door middel van tweestapsverificatie zou te omzeilen zijn.

Spionagesoftware

NSO staat bekend om zijn spionagesoftware, die formeel alleen aan overheden verkocht wordt in de strijd tegen terrorisme, maar ook is ingezet tegen onder meer activisten en journalisten.

Het bekendste NSO-product is Pegasus, software waarmee het bedrijf in staat zou zijn om de smartphone van een doelwit in te zien.

Jamal Khashoggi

Pegasus zou onder meer ingezet zijn tegen een Saoedische dissident om zijn communicatie met de vermoorde journalist Jamal Khashoggi te monitoren.

Het bedrijf zou nu ook in staat zijn om informatie die zich niet op de smartphone bevindt, maar op servers van verschillende diensten, te verzamelen.

Volgens The Financial Times gaat het onder meer om iCloud, Google Drive, Facebook Messenger en een niet nader genoemde clouddienst van Microsoft.